Pozdrowienia! Witamy na siódmej lekcji kursu . Na zapoznaliśmy się z takimi profilami bezpieczeństwa, jak filtrowanie sieci, kontrola aplikacji i inspekcja HTTPS. W tej lekcji będziemy kontynuować wprowadzenie do profili zabezpieczeń. Najpierw zapoznamy się z teoretycznymi aspektami działania systemu antywirusowego i zapobiegania włamaniom, a następnie przyjrzymy się, jak te profile bezpieczeństwa sprawdzają się w praktyce.
Zacznijmy od programu antywirusowego. Na początek omówmy technologie, które FortiGate wykorzystuje do wykrywania wirusów:
Skanowanie antywirusowe to najłatwiejsza i najszybsza metoda wykrywania wirusów. Wykrywa wirusy, które całkowicie odpowiadają sygnaturom zawartym w antywirusowej bazie danych.
Grayware Scan, czyli skanowanie niechcianych programów – technologia ta wykrywa niechciane programy, które są instalowane bez wiedzy i zgody użytkownika. Technicznie rzecz biorąc, programy te nie są wirusami. Zwykle są dostarczane w pakiecie z innymi programami, ale po zainstalowaniu negatywnie wpływają na system, dlatego są klasyfikowane jako złośliwe oprogramowanie. Często takie programy można wykryć za pomocą prostych sygnatur oprogramowania Grayware z bazy badawczej FortiGuard.
Skanowanie heurystyczne - technologia ta opiera się na prawdopodobieństwie, więc jej użycie może dawać fałszywie pozytywne efekty, ale potrafi też wykryć wirusy dnia zerowego. Wirusy dnia zero to nowe wirusy, które nie zostały jeszcze zbadane i nie ma sygnatur, które mogłyby je wykryć. Skanowanie heurystyczne nie jest domyślnie włączone i należy je włączyć w wierszu poleceń.
Jeśli wszystkie funkcje antywirusowe są włączone, FortiGate stosuje je w następującej kolejności: skanowanie antywirusowe, skanowanie Grayware, skanowanie heurystyczne.
FortiGate może korzystać z kilku antywirusowych baz danych, w zależności od zadań:
- Zwykła antywirusowa baza danych (Normalna) - zawarta we wszystkich modelach FortiGate. Zawiera sygnatury wirusów odkrytych w ostatnich miesiącach. Jest to najmniejsza antywirusowa baza danych, więc skanuje najszybciej, gdy jest używana. Jednak ta baza danych nie jest w stanie wykryć wszystkich znanych wirusów.
- Rozszerzony - ta baza jest obsługiwana przez większość modeli FortiGate. Można go używać do wykrywania wirusów, które nie są już aktywne. Wiele platform jest nadal podatnych na te wirusy. Ponadto wirusy te mogą powodować problemy w przyszłości.
- I ostatnia, ekstremalna podstawa (Extreme) – stosowana jest w infrastrukturach, w których wymagany jest wysoki poziom bezpieczeństwa. Za jego pomocą można wykryć wszystkie znane wirusy, w tym wirusy atakujące przestarzałe systemy operacyjne, które obecnie nie są szeroko rozpowszechnione. Ten typ bazy sygnatur również nie jest obsługiwany przez wszystkie modele FortiGate.
Dostępna jest również kompaktowa baza danych podpisów przeznaczona do szybkiego skanowania. Porozmawiamy o tym trochę później.
Możesz aktualizować antywirusowe bazy danych różnymi metodami.
Pierwsza metoda to Push Update, która umożliwia aktualizację baz danych zaraz po opublikowaniu aktualizacji przez badawczą bazę danych FortiGuard. Jest to przydatne w przypadku infrastruktur wymagających wysokiego poziomu bezpieczeństwa, ponieważ FortiGate będzie otrzymywać pilne aktualizacje, gdy tylko będą dostępne.
Druga metoda polega na ustaleniu harmonogramu. W ten sposób możesz sprawdzać dostępność aktualizacji co godzinę, dzień lub tydzień. Oznacza to, że tutaj zakres czasu jest ustalany według własnego uznania.
Metody te można stosować łącznie.
Trzeba jednak pamiętać, że aby aktualizacje mogły zostać wykonane, należy włączyć profil antywirusowy dla przynajmniej jednej zasady zapory sieciowej. W przeciwnym razie aktualizacje nie zostaną wykonane.
Możesz także pobrać aktualizacje ze strony pomocy technicznej Fortinet, a następnie ręcznie przesłać je do FortiGate.
Przyjrzyjmy się trybom skanowania. Są tylko trzy z nich – tryb pełny w trybie opartym na przepływie, tryb szybki w trybie opartym na przepływie i tryb pełny w trybie proxy. Zacznijmy od trybu pełnego w trybie przepływu.
Załóżmy, że użytkownik chce pobrać plik. Wysyła prośbę. Serwer zaczyna wysyłać mu pakiety tworzące plik. Użytkownik natychmiast otrzymuje te pakiety. Jednak przed dostarczeniem tych pakietów użytkownikowi FortiGate buforuje je. Po odebraniu ostatniego pakietu FortiGate rozpoczyna skanowanie pliku. W tym momencie ostatni pakiet jest umieszczany w kolejce i nie jest przesyłany do użytkownika. Jeżeli plik nie zawiera wirusów, do użytkownika wysyłany jest najnowszy pakiet. W przypadku wykrycia wirusa FortiGate zrywa połączenie z użytkownikiem.
Drugi tryb skanowania dostępny w trybie opartym na przepływie to tryb szybki. Wykorzystuje kompaktową bazę danych podpisów, która zawiera mniej podpisów niż zwykła baza danych. Ma również pewne ograniczenia w porównaniu do trybu pełnego:
- Nie może wysyłać plików do piaskownicy
- Nie może używać analizy heurystycznej
- Nie może także korzystać z pakietów związanych z mobilnym złośliwym oprogramowaniem
- Niektóre modele podstawowe nie obsługują tego trybu.
Tryb szybki sprawdza również ruch pod kątem wirusów, robaków, trojanów i złośliwego oprogramowania, ale bez buforowania. Zapewnia to lepszą wydajność, ale jednocześnie zmniejsza prawdopodobieństwo wykrycia wirusa.
W trybie proxy jedynym dostępnym trybem skanowania jest tryb pełny. Przy takim skanowaniu FortiGate najpierw zapisuje na sobie cały plik (o ile oczywiście nie zostanie przekroczony dopuszczalny rozmiar pliku do skanowania). Klient musi poczekać na zakończenie skanowania. Jeśli podczas skanowania zostanie wykryty wirus, użytkownik zostanie natychmiast o tym powiadomiony. Ponieważ FortiGate najpierw zapisuje cały plik, a następnie go skanuje, może to zająć dość dużo czasu. Z tego powodu klient może zakończyć połączenie przed otrzymaniem pliku ze względu na duże opóźnienie.
Poniższy rysunek przedstawia tabelę porównawczą trybów skanowania - pomoże Ci to określić, jaki typ skanowania jest odpowiedni dla Twoich zadań. Konfigurowanie i sprawdzanie funkcjonalności programu antywirusowego zostało omówione w praktyce w filmie na końcu artykułu.
Przejdźmy do drugiej części lekcji – systemu zapobiegania włamaniom. Aby jednak rozpocząć naukę IPS, musisz zrozumieć różnicę między exploitami a anomaliami, a także zrozumieć, jakich mechanizmów używa FortiGate, aby się przed nimi chronić.
Exploity to znane ataki o określonych wzorach, które można wykryć za pomocą sygnatur IPS, WAF lub antywirusowych.
Anomalie to nietypowe zachowanie w sieci, np. niezwykle duży ruch lub większe niż normalne zużycie procesora. Anomalie należy monitorować, ponieważ mogą być oznaką nowego, niezbadanego ataku. Anomalie są zwykle wykrywane za pomocą analizy behawioralnej – tzw. sygnatur opartych na stawkach i polityk DoS.
W rezultacie system IPS w FortiGate wykorzystuje bazy sygnatur do wykrywania znanych ataków oraz sygnatury oparte na szybkości i zasady DoS do wykrywania różnych anomalii.
Domyślnie początkowy zestaw sygnatur IPS jest dołączony do każdej wersji systemu operacyjnego FortiGate. Dzięki aktualizacjom FortiGate otrzymuje nowe podpisy. W ten sposób IPS pozostaje skuteczny w walce z nowymi exploitami. FortiGuard dość często aktualizuje sygnatury IPS.
Ważną kwestią, która dotyczy zarówno IPS, jak i programu antywirusowego, jest to, że jeśli Twoje licencje wygasły, nadal możesz korzystać z najnowszych otrzymanych sygnatur. Ale bez licencji nie będziesz mógł zdobyć nowych. Dlatego brak licencji jest wyjątkowo niepożądany - jeśli pojawią się nowe ataki, nie będziesz w stanie zabezpieczyć się starymi sygnaturami.
Bazy sygnatur IPS dzielą się na zwykłe i rozszerzone. Typowa baza danych zawiera sygnatury typowych ataków, które rzadko lub nigdy nie powodują fałszywych alarmów. Wstępnie skonfigurowaną akcją dla większości tych podpisów jest blokowanie.
Rozbudowana baza danych zawiera dodatkowe sygnatury ataków, które mają istotny wpływ na wydajność systemu lub których ze względu na swoją specyfikę nie można zablokować. Ze względu na rozmiar tej bazy danych nie jest ona dostępna w modelach FortiGate z małym dyskiem lub pamięcią RAM. Jednak w przypadku bardzo bezpiecznych środowisk może być konieczne użycie rozszerzonej bazy.
Konfigurowanie i sprawdzanie funkcjonalności IPS zostało również omówione w poniższym filmie.
W następnej lekcji przyjrzymy się pracy z użytkownikami. Aby tego nie przegapić, śledź aktualizacje na następujących kanałach:
Źródło: www.habr.com